让我们拥抱数字化!更新的数字身份指南现已发布!
今天是个重要的日子!《数字身份指南》第4版终于正式发布……这是一段令人兴奋的旅程,NIST很荣幸能参与其中。
我们能期待什么?
作为近四年协作过程的成果,该版本包含了基础研究、两次公开草案以及来自公众的约6000条独立意见。与2017年发布的上次重大修订相比,第4版旨在应对不断变化的数字环境。
第4版中的指南阐述了满足身份验证、认证和联邦断言数字身份保证级别的流程和技术要求——包括安全和隐私要求,以及改进数字身份解决方案和技术客户体验的考量。该指南还将身份管理确立为涉及网络安全、隐私、可用性、程序完整性、使命和业务部门等专业人员的跨职能流程。
第4版中的身份风险管理继续向“团队协作”的方向发展,以更有效地满足组织及其服务对象的需求。
第4版还包括许多实质性内容变更,包括:
- 更新了风险管理的背景设置,重构了风险管理流程,并提出了加强跨职能协作的新期望。
- 新增推荐的持续评估指标。
- 扩展了身份验证流程的欺诈要求和推荐做法。
- 重构身份验证控制措施,以更好地定义角色和身份验证类型。
- 新增应对注入攻击和伪造媒体(例如“深度伪造”)的控制措施。
- 集成了可同步认证器(例如同步通行密钥)。
- 在联邦模型中体现了用户控制钱包的表示。
- 并且……对于那些一直在寻找相关内容的人(我们知道你们的存在),文档中还包含了对密码组成和轮换期望的更改。所有这些变更都代表了NIST SP 800-63第3版的广泛更新——大量汲取了现实世界的经验教训和创新成果。
这些指南最终旨在通过提供一个理解在线风险以及能够更好地保护我们关键在线服务的控制措施的框架,使数字世界的导航更加安全和便捷。
未来我们将走向何方?
我们的旅程当然不会止步于第4版。 与之前的修订版一样,实施资源已经在开发中,我们正在探索诸如机器可读一致性标准和数字身份风险管理工具等概念。
虽然评论期已经结束,但我们始终欢迎参与、反馈和问题。请发送邮件至:dig-comments@nist.gov。
快速链接 | 探索各卷:
- 数字身份指南 | NIST SP 800-63 第4版
- 卷A | 身份验证与注册
- 卷B | 认证与认证器管理
- 卷C | 联邦与断言
我们的第4版公开网络研讨会于2025年8月20日举行 | 查看活动录像和幻灯片